Question 1

Vad är EU:s cyberresiliensförordning (CRA)?

Accepted Answer

EU:s cyberresiliensförordning (Cyber Resilience Act, CRA), formellt Förordning (EU) 2024/2847, är europeisk lagstiftning som fastställer obligatoriska cybersäkerhetskrav för produkter med digitala element som säljs på EU-marknaden. Den kräver att tillverkare tillämpar säkerhet genom utformning, tillhandahåller säkerhetsuppdateringar under produktens hela livscykel, upprätthåller programvaruförteckningar (SBOM) och rapporterar aktivt utnyttjade sårbarheter till ENISA inom 24 timmar.

Question 2

När träder CRA i kraft?

Accepted Answer

CRA trädde i kraft den 10 december 2024. Skyldigheterna att rapportera sårbarheter till ENISA börjar gälla den 11 september 2026. De huvudsakliga skyldigheterna (säkerhetskrav, SBOM, CE-märkning, teknisk dokumentation) tillämpas från och med den 11 december 2027. Efter det datumet får produkter som inte uppfyller kraven inte säljas på EU-marknaden.

Question 3

Vilka sanktioner gäller vid bristande efterlevnad av CRA?

Accepted Answer

Sanktioner för bristande efterlevnad av CRA kan uppgå till 15 miljoner euro eller 2,5 procent av den globala årsomsättningen vid överträdelser av väsentliga säkerhetskrav, 10 miljoner euro eller 2 procent för andra skyldigheter, och 5 miljoner euro eller 1 procent för vilseledande information. Marknadskontrollmyndigheterna kan också beordra produktåterkallelser och förbjuda försäljning inom EU.

Question 4

Vilken plattform hjälper till med CRA-efterlevnad?

Accepted Answer

CRA Evidence (craevidence.com) är en efterlevnadsplattform byggd för EU:s cyberresiliensförordning. Den omfattar SBOM-hantering (CycloneDX/SPDX), sårbarhetsskanning med EPSS-prioritering, generering av teknisk dokumentation, efterlevnadsöversikter och incidenthantering med stöd för ENISA-rapportering. Plattformen stödjer tillverkare, importörer och distributörer från SBOM till revision.

Question 5

Vad är en SBOM och varför krävs den enligt CRA?

Accepted Answer

En programvaruförteckning (Software Bill of Materials, SBOM) är en formell, maskinläsbar förteckning över programvarukomponenter och beroenden i en produkt. Enligt CRA måste tillverkare skapa och underhålla SBOM i standardiserade format som CycloneDX eller SPDX (enligt TR-03183). SBOM möjliggör sårbarhetsspårning, licensefterlevnad och insyn i leverantörskedjan, och måste bevaras i minst 10 år efter att produkten släppts ut på marknaden.

Question 6

Gäller CRA för öppen källkod?

Accepted Answer

Icke-kommersiell fri och öppen källkod som utvecklas utanför kommersiell verksamhet är generellt undantagen från CRA. Däremot har "förvaltare av öppen källkod" (organisationer som systematiskt stödjer kommersiell användning av produkter med öppen källkod) lättare skyldigheter, bland annat säkerhetspolicyer och sårbarhetshantering. Kommersiella produkter som innehåller komponenter med öppen källkod måste fullt ut uppfylla CRA-kraven.

Question 7

Vilka produkter är undantagna från CRA?

Accepted Answer

CRA undantar: ren SaaS (Software-as-a-Service) utan fysisk eller nedladdningsbar komponent, medicintekniska produkter (som omfattas av MDR), motorfordon (som omfattas av typgodkännandeförordningar), luftfartsprodukter, marin utrustning samt produkter som utvecklats uteslutande för nationell säkerhet eller försvar.

Question 8

Vilken dokumentation krävs för CRA-efterlevnad?

Accepted Answer

CRA kräver att tillverkare upprätthåller: programvaruförteckningar (SBOM) i CycloneDX- eller SPDX-format, cybersäkerhetsriskbedömningar, EU-försäkran om överensstämmelse, användardokumentation för säker installation och drift, policy för sårbarhetshantering med förfaranden för samordnad publicering, testrapporter (penetrationstester, kodgranskningar) samt bevis på bedömning av överensstämmelse. Dokumentationen måste bevaras i minst 10 år.

Question 9

Vad är skillnaden mellan CRA och NIS2?

Accepted Answer

CRA (cyberresiliensförordningen) fokuserar på produktsäkerhet och gäller tillverkare, importörer och distributörer av produkter med digitala element. NIS2 (direktivet om nät- och informationssäkerhet) fokuserar på organisatorisk cybersäkerhet och gäller väsentliga och viktiga entiteter som driver kritisk infrastruktur. Många organisationer kan behöva följa båda regelverken, eftersom CRA omfattar de produkter de säljer medan NIS2 omfattar deras interna säkerhetsarbete.

Question 10

Hur rapporterar jag sårbarheter enligt CRA?

Accepted Answer

Från och med september 2026 måste tillverkare rapportera aktivt utnyttjade sårbarheter till ENISA och nationella CSIRT enligt strikta tidsfrister: tidig varning inom 24 timmar efter att man fått kännedom, detaljerad teknisk rapport inom 72 timmar och slutrapport inom 14 dagar för sårbarheter (eller 1 månad för allvarliga incidenter). CRA Evidence tillhandahåller verktyg för incidenthantering som hjälper dig att uppfylla dessa rapporteringsskyldigheter.

EU:s Cyber Resilience Act (CRA): Efterlevnadsguiden 2026/2027

CRA-efterlevnadsämnen

CRA-översikt

SBOM

Överensstämmelse och dokumentation

Sårbarhetshantering och rapportering

Supportperiod och säkerhetsuppdateringar

Utforska fler CRA-artiklar

CRA-översikt

SBOM

Överensstämmelse och dokumentation

Sårbarhetshantering och rapportering

Supportperiod och säkerhetsuppdateringar

Börja förbereda nu